Просмотр произвольных файлов в IE 5.0-6.0

Дата публикации:
22.02.2002
Дата изменения:
17.10.2006
Всего просмотров:
1001
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: В соответствии с дизайном, сценарии в фрейме одного сайта или домена не должны иметь доступ к содержанию фреймов в другом сайте или домене. Однако, недостаток существует в том, как VBScript обрабатывает доступ к различным доменам в IE. Этот недостаток позволяет сценариям одного домена обращаться к содержанию другого домена в фрейме.

Злонамеренный пользователь может эксплуатировать эту уязвимость, используя сценарий, чтобы извлечь содержание фреймов в других доменах, затем посылая это содержание назад к их сайту. Уязвимость позволяет нападающему просматривать файлы на локальной машине пользователя или фиксировать содержание сторонних сайтов, который посетил пользователь после просмотра сайта нападающего. Последний сценарий, в самом плохом случае, дает возможность нападающему изучить личную информацию подобно имени пользователя, пароля, или информации о кредитной карточки.

В обоих случаях, пользователь должен просмотреть сайт под управлением нападающего или рассматривать HTML электронную почту, посланную нападающим. Кроме того, нападающий должен знать точное имя и расположение любых файлов на системе пользователя. Далее, нападающий может получать доступ к файлам, которые могут быть отображены в окне браузера, типа текстовых файлов, HTML файлов, или файлов.

Уязвимость найдена в IE 5.0-6.0

или введите имя

CAPTCHA